RODO – podstawowe pojęcia

kary za RODO

 

Dzisiaj prezentujemy Państwu objaśnienia podstawowych pojęć z zakresu ochrony danych osobowych zdefiniowanych w RODO:

 

Czym są „dane osobowe”?

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, czyli o „osobie, której dane dotyczą”. Inaczej mówiąc, są to informacje, które umożliwiają identyfikację danej osoby, a także informacje o tej osobie.

Dla przykładu danymi osobowymi, które umożliwiają identyfikacje osoby, są:

  • imię i nazwisko, numer identyfikacyjny PESEL, numer prawa jazdy, NIP, adres IP, kod DNA, wzór siatkówki oka, linie papilarne.

Istotnym jest to, że dana osoba jest możliwa do zidentyfikowania o ile identyfikacja nie wymaga nadmiernego nakładu czasu, kosztów lub pracy.

W zależności zatem od okoliczności ten sam rodzaj danych może stanowić dane osobowe, ponieważ pozwala na identyfikację konkretnej osoby, a w innych nie.

Przykładem może być popularne w Polsce imię i nazwisko: Jan Nowak. Bez dodatkowych informacji, takich jak PESEL czy adres zamieszkania, to imię i nazwisko nie pozwala na identyfikację określonej osoby, ponieważ osób o identycznym imieniu i nazwisku jest w Polsce bardzo wiele.

 

Dane zwykłe i „szczególne kategorie danych”

RODO utrzymuje znany już podział na dane osobowe „zwykłe” i „szczególne kategorie danych” – dawniej nazywane wrażliwymi.

Dane „zwykłe” to wszystkie te dane, co do których z reguły nie miewamy obiekcji, jeżeli żąda się od nas ich ujawnienia.

RODO wprowadza nowatorskie podejście do „szczególnych kategorii” danych, a więc tych, których nie lubimy ujawniać, bo określają nasze pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności albo orientacji seksualnej.

Zasadą jest zakaz ich przetwarzania. Oznacza to, że ani Twoja organizacja nie ma prawa przetwarzania takich danych, ani żadna organizacja nie może żądać od Ciebie przekazania takich danych. Od tej zasady możliwe są oczywiście wyjątki, ale o tym może przy innej okazji.

 

Zbiór danych osobowych

Zbiorem danych osobowych jest uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów np.:

  • zbiór danych pracowników, czyli dane zebrane w związku z zatrudnieniem;
  • zbiór danych kandydatów do pracy, czyli dane osób ubiegających się o przyjęcie do pracy;

 

Administrator

Zgodnie z przepisami RODO administratorem jest osoba fizyczna, osoba prawna, organ publiczny lub jakikolwiek inny podmiot, który samodzielnie albo wspólnie z innymi administratorami ustala cele i sposoby przetwarzania danych osobowych.

Administratorem jest zatem organizacja, np. spółka lub jednoosobowa działalność gospodarcza, którą prowadzisz lub w której jesteś zatrudniony. Administratorem jest sklep internetowy w którym robisz zakupy, a także Urząd Skarbowy, basen, szpital, szkoła czy klub sportowy w Twoim mieście.

Administrator jest odpowiedzialny za prawidłowe i zgodne z RODO przetwarzanie danych zarówno przez siebie, jak i przez podmioty, którym powierzył przetwarzanie danych.

Jednym z podstawowych obowiązków Administratora jest systematyczne szkolenie pracowników i wszystkich innych osób, które mają w organizacji styczność z danymi osobowymi oraz wdrożenie odpowiednich procedur przetwarzania danych osobowych, w tym posiadanie odpowiedniej dokumentacji, która stanowi absolutne minimum na wypadek kontroli organu nadzorczego.

 

Inspektor Ochrony Danych (IOD)

RODO wprowadza nową instytucję w postaci Inspektora Ochrony Danych. (dawniej ABI). Inspektorem może zostać osoba fizyczna, którą administrator wyznaczył lub wynajął (jako osobę spoza organizacji) do wykonywania praktycznych zadań związanych z ochroną danych osobowych. Do zadań IOD należy m.in.

  • informowanie o obowiązkach wynikających z RODO;
  • monitorowanie przestrzegania RODO;
  • udzielanie zaleceń oraz współpraca z organem nadzorczym.

U niektórych administratorów i procesorów powołanie IOD jest obowiązkowe. Jest tak, jeżeli administratorzy ci:

  • są organem lub podmiotem publicznym z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • prowadzą główną działalność, polegającą na operacjach monitorowania osób na dużą skalę;
  • przetwarzają na dużą skalę dane wrażliwe.

 

Podmiot przetwarzający (procesor)

Procesor, podobnie jak administrator, to podmiot przetwarzający dane osobowe. Zasadnicza różnica między procesorem a administratorem sprowadza się do tego, że procesor przetwarza dane osobowe w imieniu i na rzecz administratora np.:

  • biuro rachunkowe naliczające wynagrodzenia pracowników, podatki i składki ZUS w ramach wykonywanej obsługi księgowej klientów, czy firma windykacyjna, której zlecono windykację należności.

Warto podkreślić, że odpowiedzialność za przestrzeganie RODO spoczywa zarówno na administratorze, jak i na procesorze.

 

Przetwarzanie danych osobowych

Przetwarzaniem jest każda operacja na danych osobowych.

Do przetwarzania danych osobowych administrator musi posiadać podstawę prawną.

RODO przewiduje zamknięty katalog przesłanek legalizujących przetwarzanie danych osobowych. Przetwarzanie danych osobowych musi zatem znajdować oparcie w jednej z następujących podstaw:

  1. w zgodzie osoby, której dane dotyczą,
  2. w wykonaniu albo zawarciu umowy, 
  3. w konieczności wypełnienia obowiązku prawnego ciążącego na administratorze,
  4. w związku z ochroną żywotnych interesów osoby, której dane dotyczą, 
  5. w wykonaniu zadania realizowanego w interesie publicznym albo sprawowaniu władzy publicznej,
  6. w prawnie uzasadnionym interesie administratora.

W sytuacji zawarcia określonej umowy i podania stosownych danych, nie podpisuje się osobnej zgody na ich przetwarzanie.

 

Pseudonimizacja i anonimizacja

RODO zachęca administratorów do pseudonimizacji przetwarzanych danych osobowych. Ma to ścisły związek z filozofią RODO, czyli tzw. „podejściem opartym na ryzyku”.

Pseudonimizacja, z punktu widzenia osób których dane dotyczą, ogranicza ryzyka związane z przetwarzaniem. W razie incydentu bezpieczeństwa, czyli wycieku danych, dane spseudonimizowane trudniej powiązać z określonymi osobami.

Pseudonimizacja, czyli nowe pojęcie wprowadzone przez RODO, jest zatem podstawową metodą zabezpieczenia danych. W praktyce oznacza pozbawienie informacji o osobie tych elementów, które pozwalają na ustalenie jej tożsamości. Administrator zachowuje jednak narzędzia do ponownej identyfikacji tej osoby.

Zapis przed pseudonimizacją danych osobowych może wyglądać następująco:

Jan Nowak, urodzony 21 maja 1989 r. ukończył Technikum Zawodowe w Jaworznie i uzyskał tyt. zaw. mechanika

A po pseudonimizacji będzie wyglądał tak:

JN, 1989, mechanik

Z kolei anonimizacja oznacza trwałe usunięcie z danych osobowych elementów identyfikujących osobę, tak aby ustalenie tożsamości osoby nie było możliwe, nawet przez administratora.

Dane spseudonimizowane są danymi osobowymi, ponieważ przy użyciu klucza administrator może je bez wysiłku „odkodować”. Dane zanonimizowane nie są natomiast danymi osobowymi.